Nombre:Worm/Zafi.D
Descubierto:14/12/2004
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:11.745 Bytes
Suma de control MD5:387ea0a6f410281971b3fc53b7777a40
Versión del VDF:6.29.00.15

 General Método de propagación:
   • Correo electrónico
   • Peer to Peer


Alias:
   •  Symantec: W32/Zafi.d@MM
   •  Mcafee: W32/Zafi.d@MM
   •  Kaspersky: Email-Worm.Win32.Zafi.d
   •  Sophos: W32/Zafi-D
   •  Grisoft: I-Worm/Zafi.D
   •  Bitdefender: Win32.Zafi.D@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\Norton Update.exe



Crea los siguientes ficheros:

– Un fichero que contiene las direcciones de correo recolectadas:
   • %SYSDIR%\%aleator%.dll

– C:\s.cm

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Wxp4" = "%SYSDIR%\Norton Update.exe"



Añade la siguiente clave al registro:

– [HKLM\Software\Microsoft\Wxp4]
   • rD=dword:00000101
   • t1="%nombre del usuario actual%"
   • t3="%SYSDIR%\Norton Update.exe"
   • t4="%SYSDIR%\%serie de caracteres aleatorios%.dll"
   • lA="%PROGRAM FILES%\MSN\MSNCoreFiles"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
El idioma del mensaje de correo enviado depende del TLD (Dominio de Alto Nivel - Top-Level-Domain).


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • Christmas - Kartki!
   • Christmas Vykort!
   • Christmas Kort!
   • Christmas Postkort!
   • Christmas postikorti!
   • Christmas Atviruka!
   • Weihnachten card.
   • Prettige Kerstdagen!
   • Christmas pohlednice
   • Fw: ecard.ru
   • Fw: Merry Christmas!
   • Merry Christmas!
   • Re: Merry Christmas!
   • Weihnachten card.
   • Joyeux Noel!
   • Buon Natale!



El cuerpo del mensaje:
– Contiene código HTML.


Archivo adjunto:
Los nombres de los ficheros adjuntos están compuestos de los siguientes elementos:

   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

   • christmas
   • card
   • postcard
   • index
   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

    A veces seguida por una de las siguientes:
   • christmas
   • index

    Seguido por una de las siguientes extensiones falsas:
   • gif%serie de caracteres aleatorios de cuatro dígitos%
   • jpg%serie de caracteres aleatorios de cuatro dígitos%
   • php%serie de caracteres aleatorios de cuatro dígitos%

    La extensión del fichero es una de las siguientes:
   • zip
   • cmd
   • bat
   • pif



Algunos ejemplos de nombres de los ficheros adjuntos:
   • postcard.christmas.jpg7230.cmd
   • vykort.index.jpg8253.zip
   • weihnachten.christmas.php3720.pif

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr; fpt; inb
Emplea el mismo listado de dominios mencionado anteriormente.

El dominio es uno de los siguientes:
   • .hu; .sp; .ru; .dk; .ro; .se; .no; .fi; .lt; .pl; .pt; .de; .nl; .cz;
      .fr; .it; .mx; .at; .es


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • yaho; google; win; use; info; help; admi; webm; micro; msn; hotm;
      suppor; syman; viru; trend; secur; panda; cafee; sopho; kasper;

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • share
   • upload
   • music

   Al tener éxito, crea los siguientes ficheros:
   • winamp 5.7 new!.exe
   • ICQ 2005a new!.exe

   Estos ficheros son copias del programa malicioso.

 Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • firewall
   • virus
   • reged
   • msconfig
   • task


 Backdoor (Puerta trasera) Abre el siguiente puerto:
en el puerto TCP 8181 para proporcionar capabilidades de backdoor.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • Wxp4

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG 2.0

Descripción insertada por Ernest Szocs el viernes 26 de octubre de 2007
Descripción actualizada por Ernest Szocs el viernes 26 de octubre de 2007

Volver . . . .